Tag Archives: Betriebsvereinbarungen

Was sie schon immer über die DSGVO wissen wollten

Toni Hegewald/pixelio.de

häufig gestellte Fragen zum Beschäftigten-Datenschutz

und die Antworten darauf

Seit 25.5.2018 ist die Europäische Datenschutzgrundverordnung in Kraft und gilt in der gesamten Europäischen Union. Dadurch erhält das Thema Beschäftigtendatenschutz großen Auftrieb. Der Umgang mit den personenbezogenen Daten von Beschäftigten (z.B. Personalakte, Vordienstzeiten, Heiratsurkunden, Gehalt, Fotos, etc.) wirft Fragen auf.

Wir haben die häufigsten Fragen, die bei unserer Beratungstätigkeit in den letzten Monaten gestellt wurden, für euch zusammengefasst.

Was bedeutet Beschäftigtendatenschutz?

Die DSGVO bestimmt erstmals, dass es überhaupt einen eigenen Beschäftigtendatenschutz gibt – bislang hatte nur Deutschland einen solchen rechtlich vorgesehen. Der Artikel 88 zur „Datenverarbeitung im Beschäftigungskontext“ stellt nun klar, dass es einen Unterschied macht, ob personenbezogene Daten im Arbeitsverhältnis oder in anderen Angelegenheiten (z.B. als KonsumentIn oder StaatsbürgerIn, etc.) verarbeitet werden. Im Artikel 88 der DSGVO ist nun festgehalten, dass es auf gesetzlicher wie auch auf kollektivvertraglicher oder betrieblicher Ebene möglich ist, eigene Regelungen bezüglich der Beschäftigtendaten festzulegen. Die Themen, die sozialpartnerschaftlich geregelt werden können, umfassen: Regelung zur Einstellung oder Beendigung des Arbeitsverhältnisses, zur Erfüllung des Arbeitsvertrages, Gesundheit und Sicherheit am Arbeitsplatz und vieles mehr.

Was sind „sensible Daten“ (die nun in der DSGVO „besondere Kategorien personenbezogener Daten“ genannt werden), die besonders zu schützen sind?

Die „besonderen Kategorien personenbezogener Daten“ sind Daten über eine Person, die sehr heikel sind – vor allem, weil sie schnell zu Diskriminierung führen können. Besondere Kategorien sind: politische Meinung, Gewerkschaftszugehörigkeit, ethnische oder rassische Herkunft, Gesundheitsdaten, sexuelle Orientierung, biometrische und genetische Daten sowie religiöse oder weltanschauliche Überzeugungen.

Im Allgemeinen ist es laut DSGVO verboten, diese Daten zu verwenden – außer unter besonders geschützten Umständen oder, weil ein Gesetz es vorschreibt. Diese Daten können nur dann verwendet werden, wenn die betroffene Person ausdrücklich und ohne Zwang eingewilligt hat, oder eine gesetzliche Vorschrift es verlangt (z.B. Arbeits- und Sozialversicherungsrecht), oder aufgrund der öffentlichen Gesundheitsvorsorge. Dazu gehören auch die notwendigen arbeitsmedizinischen Daten.

Was ist das Grundrecht auf Datenschutz?

Das Recht auf Schutz der personenbezogenen Daten zählt zu den Grundrechten, so wie zum Beispiel auch das Recht auf die freie Meinungsäußerung, oder das Recht auf Erwerbsfreiheit, oder das Verbot von Sklaverei und Folter. Durch die Grundrechte haben die Bürgerinnen und Bürger einen besonderen Schutz vor staatlichem und privatem Zugriff. Durch das Grundrecht auf Datenschutz sollen die Menschen selbst bestimmen können, welche Informationen über ihre Person an wen weitergeben werden.

Was sind eigentlich die Ziele der DSGVO?

Mit der DSGVO sollte die alte EU-Richtlinie zum Datenschutz von 1995 aktualisiert werden. In der DSGVO sollen die individuellen Grundrechte der Menschen gewahrt werden und zugleich soll die DSGVO den freien Datentransfer für Unternehmen innerhalb der EU sicherstellen. Man kann sich vorstellen, dass das ein breites Spektrum an Anliegen und Interessen umfasst und daher ein ziemlicher „Spagat“ gemacht werden musste.

Was bedeutet das „Marktortprinzip“?

Dieses legt fest, dass jede Geschäftstätigkeit auf dem Territorium der EU der DSVGO unterliegt. Dies hat zur Folge, dass auch nicht in der EU ansässige AnbieterInnen von Apps oder digitalen Dienstleistungen sich an die DSVGO halten müssen. Daher müssen Nicht-EU Unternehmen, die in der EU tätig sind, eine/n VertreterIn benennen, der/die AnsprechpartnerIn für die nationale Datenschutzbehörde ist. Die neue DSGVO ist an das EU-weite Wettbewerbsrecht angelehnt und es gilt daher das Marktortprinzip.

Was sind die Grundprinzipien der DSVGO?

Jede Datenverwendung muss einen rechtmäßigen Zweck verfolgen. Die Zweckbindung der personenbezogenen Daten ergibt sich aufgrund gesetzlicher, kollektivvertraglicher oder privatrechtlicher Vorschriften bzw. Verträge (Rechtmäßigkeit). Schreibt zum Beispiel der Kollektivvertrag ein Jubiläumsgeld vor, so muss dem BR das Eintrittsdatum, den Namen und das Monatsgehalt des betroffenen Kollegen/der betroffenen Kollegin bekannt sein, weil sonst eine Auszahlungskontrolle für den BR nicht möglich wäre.

Dabei ist zu beachten, dass ausschließlich für den Zweck notwendige personenbezogene Daten verwendet werden (Sparsamkeitsprinzip). Bezogen auf das Jubiläumsgeld wird der BR wie oben angeführt den Namen, das Eintrittsdatum sowie das Monatsgehalt der betroffenen Person wissen müssen.

Erlischt der Zweck für den die notwendigen personenbezogenen Daten benötigt wurden, so sind die Daten ebenfalls zu löschen (Datenminimierung), außer man muss sie aus gesetzlichen Vorschriften noch aufbewahren (z.B. Steuerrecht). Damit der BR überprüfen kann, ob der AN das jeweilige zustehende Jubiläumsgeld erhalten hat, wird er die dafür notwendigen Daten solange aufbewahren müssen, bis der Anspruch auf Jubiläumsgeld erloschen ist. Verlangt der AN Auskunft, über welche und zu welchem Zweck seine Daten verwendet werden, so muss nun auch die vorgesehene Speicherdauer angegeben werden (Transparenz). Dabei ist immer auf die Richtigkeit der verwendeten Daten zu achten.

Auch muss der Verantwortliche (= meist der/die ArbeitgeberIn) nachweisen können, dass sämtliche Grundsätze bei der Datenverwendung eingehalten werden (Rechenschaftspflicht).

Müssen ArbeitnehmerInnen ihnen von dem/der ArbeitgeberIn vorgelegte „Datenschutz- und Geheimhaltungserklärungen“ unterschreiben?

NEIN. Dies ist datenschutzrechtlich nicht erforderlich. Die hier geforderte Geheimhaltung und Einhaltung des Datenschutzes ergibt sich ohnehin aus dem Arbeitsverhältnis und der Loyalität, die ArbeitnehmerInnen den ArbeitgeberInnen schulden.

Beschäftigte werden häufig mit „Datenschutzerklärungen“ (§ 6 DSG 2018) konfrontiert, die Konventionalstrafen bei Nichteinhaltung des Datenschutzes androhen. Das zu unterschreiben führt zu einer Änderung des Einzelvertrages. Dieser Passus sollte also jedenfalls gestrichen werden. Im Zweifelsfall bei uns in der GPA-djp beraten lassen.

Einer Unterschrift im Sinne von „ich habe die Belehrung gelesen und halte personenbezogene Daten aus dem Arbeitsverhältnis geheim“ steht nichts im Wege. Das ist dann eine allgemeine Kenntnisnahme von Geheimhaltungsverpflichtungen, die ohnehin aus der Loyalitätspflicht im Arbeitsverhältnis entsteht. Auch die Zustimmung zu einer Datenweitergabe an den/die ArbeitgeberIn betreffend personenbezogener Daten, die zur Abwicklung des Dienstverhältnisses erforderlich sind, ist wohl nicht problematisch.

Müssen alle bestehenden Betriebsvereinbarungen zu Datenverarbeitungs- oder Kontrollsystemen neu geschrieben werden?

Nein, sie müssen nur der neuen DSGVO angepasst werden. Hier ist vor allem darauf zu achten, dass die Verweise auf gesetzliche Vorschriften noch richtig sind. Wenn beispielsweise in einer BV bereits von einem/r betrieblichen Datenschutzbeauftragte/n die Rede war, muss diese Regelung jetzt überprüft werden, ob nicht in der DSGVO vielleicht etwas Anderes steht. Auch allfällige Verweise auf den Gesetzestext des alten Österreichischen Datenschutzgesetzes (DSG 2000) müssen dem neuen Datenschutzgesetz 2018 angepasst werden. Die Verpflichtungen Betriebsvereinbarungen gemäß Arbeitsverfassungsgesetz §§ 96-97 abzuschließen, bleiben wie sie sind.

Was hat es mit der Datenschutz-Folgenabschätzung auf sich?

Diese muss erfolgen, wenn aus der Datenverwendung durch den Verantwortlichen ein großes Risiko für Eingriffe in die Grundfreiheiten der Betroffenen entsteht, wie z.B. beim permanenten GPS-Tracking oder der Videoüberwachung der ArbeitnehmerInnen. Ebenfalls notwendig ist eine solche Folgenabschätzung bei der systematischen und umfassenden Bewertung persönlicher Aspekte von Personen (z.B. profiling), oder der Verwendung von besonderer Datenkategorien.

Welche Mitspracherechte hat der Betriebsrat bei der Folgenabschätzung?

Grundsätzlich hat der/die ArbeitgeberIn die Pflicht im Sinne des § 91 Abs 2 ArbVG den Betriebsrat zu informieren, welche Arten von personenbezogene ArbeitnehmerInnendaten er aufzeichnet und welche Verarbeitungen und Übermittlungen er vorsieht. Auf Verlangen des Betriebsrates kann dieser die Grundlagen der Verarbeitung und Übermittlung der Daten überprüfen. Daher muss bei einer Folgenabschätzung der Betriebsrat von Anfang an informiert und einbezogen werden.

Außerdem steht in der DSGVO, dass bei der Folgenabschätzung „der Standpunkt der Betroffenen oder ihrer Vertreter“ einzuholen ist. Also muss wohl auch der Betriebsrat mit an Bord genommen werden.

Was ist neu bei Datentransfer in Drittstaaten und welche Rechte hat der Betriebsrat/ die Betriebsrätin?

Da für alle Mitgliedsstaaten der EU die DSGVO, so wie sie ist, anzuwenden ist (sie muss also nur in bestimmten Angelegenheiten noch zusätzlich in nationalstaatliches Recht umgesetzt werden, wie z.B. bei Datenverarbeitung im Beschäftigungskontext, den Aufgaben der Datenschutzbehörden oder der Bestellung von betrieblichen Datenschutzbeauftragten), haben alle EU-Mitgliedsstaaten das gleiche Datenschutzniveau und bedarf es keiner zusätzlichen besonderen Regelungen für Datentransfer innerhalb der EU.

Bei Datentransfer außerhalb der EU müssen zusätzlich rechtliche Maßnahmen getroffen werden, denn Drittstaaten müssen erst „beweisen“, dass personenbezogene Daten bei ihnen genauso gut geschützt sind, wie innerhalb der EU.

Die DSGVO enthält einige rechtliche Möglichkeiten. Manche davon gibt es schon länger (z.B. Standardvertragsklauseln oder einen Angemessenheitsbeschluss, wie er für alle Länder des EWR-Raumes sowie Israel, Chile gegeben ist) andere sind neu hinzugekommen (z.B. Zertifizierungen). Für Datentransfer in die USA können sich dort ansässige Unternehmen dem so genannten „Privacy Shield“ unterwerfen (Auf der Seite des US-amerikanischen Handelsministeriums https://www.privacyshield.gov/list kann man diese Firmen aufgelistet finden).

Alle diese Transfermöglichkeiten in Dritt-Staaten folgen aber strengen Auflagen und müssen von der nationalen Datenschutzbehörde oder dem Europäischen Datenschutzausschuss genehmigt worden sein.

Bei den Mitspracherechten des Betriebsrates in diesem Fall sei auch hier auf die Informationsrechte gemäß § 91 Abs 2 ArbVG verwiesen. Zusätzlich kann der Betriebsrat, wenn durch den Datentransfer personenbezogene Daten oder besondere Kategorien personenbezogener Daten von ArbeitnehmerInnen betroffen sind, den Abschluss einer Betriebsvereinbarung im Sinne des § 96a ArbVG verlangen. Solange eine solche Betriebsvereinbarung nicht abgeschlossen ist, können die Daten nicht transferiert werden (außer die Schlichtungsstelle des Arbeits- und Sozialgerichts hat nach deren Anrufung durch den Arbeitgeber/ die Arbeitgeberin ihre Zustimmung erteilt).

Was muss beachtet werden bei der Nutzung von Firmen eigenen Handys und Computern?

Die Geschäftsführung kann einseitig Regeln zum allgemeinen Datenschutz im Betrieb festlegen. (Wenn die Datenschutzbehörde diese genehmigt, können sie auch als Grundlage für Datentransfer in Dritt-Staaten dienen.) Diese Datenschutzvorschriften können auch Regelungen bezüglich der privaten Nutzung von Handys und Laptops beinhalten. Trotzdem muss mit dem Betriebsrat eine Betriebsvereinbarung (BV) über die Nutzung von Diensthandys und Laptops abgeschlossen werden (§ 96a ArbVG) . Es ist ratsam auch die private Nutzung der IKT-Geräte in einer BV zu regeln. Es sollte klar vereinbart sein, welche Social Media oder Apps verwendet werden dürfen und welche Einsichtsrechte seitens des Unternehmens bestehen. Die GPA-djp bietet Muster-Vereinbarungen und Beratung durch den/die betriebsbetreuende/n Regionalsekretär/in auch zu diesem Thema an.

Welche Mitspracherechte hat der Betriebsrat bei Branchen- oder konzernweiten Verhaltensrichtlinien?

Konzerne oder ganze Branchen können sich auf einheitliche Datenvorschriften einigen und von der nationalen Datenschutzbehörde genehmigen lassen. Solche Vorschriften sind dann auch Rechtsgrundlage für Datentransfers in Nicht-EU-Länder, wenn also zum Beispiel Daten von MitarbeiterInnen an die Konzernzentrale in Florida oder in der Ukraine geschickt werden. Diese Vereinbarungen müssten natürlich die Grundprinzipien der DSGVO beinhalten (z.B. Zweckbindung, Speicherfristen, datenschutzfreundliche Technikgestaltung). Die DSGVO selbst sieht explizit keine speziellen Mitbestimmungsrechte des Betriebsrates vor.

Allerdings ist auch hier auf die Informations- und Mitbestimmungsrechte zu verweisen sobald personenbezogene Daten von ArbeitnehmerInnen betroffen sind (§§ 89, 90, 91, 92, 96 und 96a ArbVG) . Also jeder einzelne Betrieb hat seinen Betriebsrat über Weitergabe personenbezogener ArbeitnehmerInnen-Daten in Drittländer im Vorhinein zu informieren (§ 91 ArbVG). Auf Verlangen des Betriebsrates sind entsprechende Beratungsgespräche zu führen und die Prüfung der Grundlagen für die Übermittlung und Verarbeitung zu ermöglichen (§§ 91, 92 ArbVG). Dabei muss festgestellt werden, ob Betriebsvereinbarungen abzuschließen sind (§§ 96 und 96a ArbVG).

Wann muss ein/e betriebliche/r Datenschutzbeauftragte/r eingeführt werden?

Wenn die Kerntätigkeit eine umfangreiche, regelmäßige und systematische Datenverarbeitung ist (z.B. Verkehrsüberwachung mit Kameras) bzw. wenn besondere Kategorie von personenbezogenen Daten verarbeitet werden (z.B. Gesundheitsdaten). Behörden haben immer einen zu bestellen. Viele Unternehmen  – vor allem international tätige – entscheiden sich im Zweifelsfall für die Ernennung eines/einer Datenschutzbeauftragten, da sie sich damit besser absichern können.

Was ist die Aufgabe des/ der betrieblichen Datenschutzbeauftragten?

Aufgabe des/der Datenschutzbeauftragten ist die Kontrolle der Einhaltung des DSGVO, Beratung des Managements, die Schulung und Information der ArbeitnehmerInnen, KundInnen und GeschäftspartnerInnen. Er/Sie ist Schnittstelle und AnsprechpartnerIn für die Datenschutzbehörde.

Kann der/ die betriebliche Datenschutzbeauftragte auch gleichzeitig der/ die IT-Sicherheitsbeauftragte eines Betriebes sein?

Grundsätzlich ja, im Gesetz ist das nicht verboten. Doch erscheint es wenig sinnvoll, da MitarbeiterInnen der IT in erster Linie für die Daten- und Netzsicherheit zuständig sind. So könnten in manchen Bereichen durchaus Interessenskonflikte entstehen.

Haftet der/ die Datenschutzbeauftragte falls Bußgelder verhängt werden?

Nein, da sie oder er nur berät, kontrolliert und schult, aber nicht entscheidet wie mit personenbezogene Daten umgegangen wird. Der/die betriebliche Datenschutzbeauftragte kann nicht bestimmen, wie das Unternehmen mit personenbezogenen Daten umgeht, nur beraten, schulen, und Ähnliches. Daher haftet er/sie auch nicht – außer er/sie missachtet seine/ihre Befugnisse, überschreitet sie, verletzt selbst Datenschutzbestimmungen, oder verhält sich sonst wie strafbar.

Gilt die DSGVO auch bei Akten in Papierform oder bei einzelnen Blättern im Hängeordner?

Ja, auch die „nichtautomatisierte Verarbeitung personenbezogener Daten in einem Dateisystem“ (z.B. ein Personalverwaltungsakt) unterliegt der DSGVO (vgl. Art 2 Abs 1). Also müssen auch analog aufbewahrte Daten gemäß den Vorgaben der DSGVO behandelt werden. Der Ordner mit der Aufschrift „Diverses“, in dem seit Jahren unsortiert Telefonnotizen landen, der Ordner „Privat“ oder die lose Sammlung von Visitenkarten zählen allerdings nicht dazu, weil sie nicht systematisch geordnet sind.

Müssen sich auch Betriebe, die gar nicht aus der EU sind, an die DSGVO halten?

Ja, wenn sie hier Waren oder Dienstleistungen anbieten. Selbst wenn sie „nur“ Daten sammeln oder „nur“ das Verhalten von Menschen in der EU beobachten, müssen sie die Grundprinzipien einhalten und die Grundrechte der Menschen wahren, egal ob sie im EU-Raum über eine reale Niederlassung verfügen oder nicht (siehe Art 3 und EG 22-25). Dieses neue Prinzip ist auch unter dem Titel „Marktortprinzip“ bekannt.

Gibt es in der DSGVO ein Privileg für Konzerne, damit diese Datentransfers einfacher durchführen können?

JEIN, es wurden mit der DSGVO mehrere Möglichkeiten innerhalb des Konzerns geschaffen, die den internationalen Datentransfer erleichtern sollen. Es gibt aber keine generelle „Freigabe“ für Konzerne, damit diese die personenbezogenen Daten der ArbeitnehmerInnen ohne Schranken durch die „Weltgeschichte“ schicken dürfen.

Wie ist das mit Datenverarbeitungen im Betriebsratsbüro?

Wer jetzt neugierig geworden ist und Betriebsrat oder Betriebsrätin ist und sich auf der Homepage der GPA-djp einloggt, kann zusätzlich Antworten zur Datenverarbeitung im Betriebsratsbüro bekommen.

Kompass faire Arbeitszeiten

Unbenannteine Neuerscheinung aus dem Grundlagenbereich der GPA-djp

 

Wir freuen uns, die Broschüre

„Kompass faire Arbeitszeiten Eine kleine Orientierungshilfe für den betrieblichen Alltag“

zu präsentieren. Die Verfasserinnen der Broschüre beschäftigt sich mit folgenden Fragestellungen:

  • Was versteht man unter Normal- und Höchstarbeitszeit? Wie viele Stunden betragen diese?
  • Wann liegen Überstunden vor? In welchem Ausmaß sind diese zulässig und wie sind sie zu vergüten?
  • Was bedeutet Gleitzeit? Worauf sollte man bei einer Gleitzeit-Betriebsvereinbarung achten? Wann fallen bei Gleitzeit Überstunden an?
  • Was ist bei All-In-Vereinbarungen zu bedenken?
  • Was versteht man unter Vertrauensarbeitszeit und ist diese überhaupt zulässig?
  • Welche Rechte und Durchsetzungsmöglichkeiten kommen dem Betriebsrat in arbeitszeitrechtlicher Hinsicht zu? Welche Rolle spielt der/die ArbeitsinspektorIn?
  • Wie ist die Arbeit (insbesondere auch die Überstundenleistung) in Österreich auf die einzelnen Beschäftigtengruppen verteilt?
  • Welche Wechselwirkungen bzw. Zusammenhänge bestehen zwischen Arbeitszeit(-gestaltung) und Gesundheit der ArbeitnehmerInnen?

Die Fragestellungen stammen aus der Praxis, und die Autorinnen aus der GPA-djp versuchen Antworten für die Praxis zu geben.

Die Broschüre enthält:

  • einen historischen Überblick über die Entwicklung der Arbeitszeit in Österreich,
  • eine Darstellung der gegenwärtigen Arbeitszeitlandschaft in Daten und Fakten,
  • die Untersuchung des Gesundheitsfaktors Arbeitszeitgestaltung,
  • eine Erläuterung der wichtigsten arbeitszeitrechtlichen Grundlagen und Begriffe,
  • diverse betriebliche Arbeitszeitmodelle, zu denen kompakte Praxis-Tipps für die betriebliche Regelung Unterstützung bieten,
  • sowie einen umfangreichen Anhang mit zahlreichen Tabellen und Checklisten.

Die Broschüre wird im Rahmen des GPA-djp Bundesvorstandes am 10./11. Juni 2015 offiziell vorgestellt.

Neuauflage und Überarbeitung der Broschüre „Datenschutz ohne Kontrolle ist wie Suppe essen mit der Gabel“

Datenschutz ohne Kontrolle ist wie Suppe essen mit der GabelDie 2010 erschienene Broschüre der GPA-djp wurde überarbeitet und aktualisiert. Sie enthält eine Reihe von Praxis-Tipps sowie Informationen zum ArbeitnehmerInnen-Datenschutz und richtet sich vor allem an BetriebsrätInnen, denen auf Grund des maßgeblichen Regelungsinstruments des betrieblichen Datenschutzes, nämlich der Betriebsvereinbarung, eine bedeutende und entscheidende Rolle hinsichtlich der Wahrung der datenschutzrechtlichen Interessen der ArbeitnehmerInnen zukommt.

weiterlesen …

MitarbeiterInnen der Modekette Primark Deutschland überwacht

Mode_Geschaeftunmenschliche Arbeitsbedingungen in der Textilindustrie?

In den letzten Tagen fanden KundInnen Hilferufe in ihre neu gekauften Kleider eingenäht. ArbeiterInnen machten auf ihre Situation aufmerksam, indem sie „SOS“ auf die Etiketten schrieben. Daneben befanden sich asiatische Schriftzeichen auf dem Kleidermarkerl, die aussagten, das chinesische Gefangene in 15-Stunden-Tagen die Ware herstellten. Nun kommen Verdachtsmomente hinzu, dass die Geschäftsführung von Primark in Hannover Kaufhaus-MitarbeiterInnen mittels Videokameras überwacht.

weiterlesen…

Informationsmappe zum Whistleblowing

Whistleblowing_Mappe_900

funkelnagelneue Mappe mit Informationen rund um Whistleblowing

Special edition: mit Arbeitsbehelfen, Checklisten, rechtlichen Entscheidungen und Muster-Betriebsvereinbarung (und um die Antwort auf eine häufig gestellte Frage gleich vorweg zu nehmen: ja, ein Whistleblowing-System kann nur in Verbindung mit einer Betriebsvereinbarung eingeführt werden. Das hat uns die Datenschutzbehörde im November 2013  – nicht zum ersten Mal aber diesmal explizit auf Betriebsvereinbarungen abgestimmt – schriftlich gegeben.)

Achtung: bevor sie die Betriebsvereinbarung unterschreiben fragen sie den/ die GewerkschafterIn ihres Vertrauens.

Es handelt sich bei der Info-Mappe um ein gelungenes Stück Teamwork. Ein besonderer Dank gebührt den AutorInnen Ingo Heeb, Claudia Kral-Bast, Andreas Rauch und Verena Spitz, sowie den KollegInnen aus der Bundesrechtsabteilung für das juristische Know-how und all jenen BAT- Mitgliedern, die fachliches Input bei unserer Klausur 2013 – wo alles begann – beigesteuert haben.

viel Vergnügen beim Lesen, Studieren und Umsetzen der Info-Mappe „Whistleblowing“

 

Bring Your Own Device

BYODein Trend nähert sich Österreich

 und die GPA-djp hat dazu einige Infos zusammengestellt

Wie andere technologische Entwicklungen auch, so kommt auch diese aus den USA. ArbeitnehmerInnen und ArbeitgeberInnen bevorzugen zunehmend die Verwendung privater mobiler Geräte wie Smartphones, tablets etc., um Berufliches zu erledigen. Das erspart den Einsatz eines zweiten Geräts – nicht mehr und nicht weniger.

Bislang gibt es – zumindest laut Erfahrungen der GPA-djp-Betriebsberatungen – kaum Betriebsvereinbarungen zu BYOD. Dass es dazu wenig bis keine betrieblichen Regelungen gibt, liegt nur zum Teil an der erst kurzen Lebensdauer von BYOD. Zu einem zumindest ebenso großen Teil liegt es daran, dass das Arbeitverfassungsgesetz ArbeitgeberInnen nicht ermöglicht, die Nutzung des Privateigentums der Beschäftigten zu regeln. Derartige Eingriffe in die Privatsphäre sind nicht vorgesehen – und das soll auch so bleiben.

Gleichzeitig verlangen ArbeitgebeInnen in Zuge der BYOD-Einführung Zugriffsmöglichkeiten auf die Privatgeräte der ArbeitnehmerInnen (zB Updates, Firewalls, Löschungsbefugnis für den Notfall). Damit soll der Sicherheitsstandard gewahrt und unrechtmäßige Zugriffe auf Firmendaten verhindert werden. ArbeitgeberInnen würden schließlich für allfällig entstehenden Schaden haften.

In der Praxis wird BYOD eher praktiziert als geregelt. Unternehmen und Beschäftigte legen sich ihre jeweils eigenen Umgangsweisen zurecht, ohne näher über Folgen oder Vor- und Nachteile nachzudenken.

die Palette der verschiedenen BYOD-Anwendungen ist bunt

Vom toalen Verbot bis hin zum „macht wie ihr wollt“ reichen die betrieblichen Übungen. Schnell unteschreibt eine Mitarbeiterin ihre Zustimmung zur Fernlöschung „im Notfall“ damit ihr über das – gegenüber dem Firmanhandy modernere und potentere – Privat-Smartphone auch einen Zugriff auf Firmendaten ermöglicht wird. In einem anderen Betrieb erhalten die KollegInnen „Mieten“ dafür, dass sie sich eigenverantwortlich darum kümmern, dass ihre Handys immer funktionsbereit und auf dem neuesten (Sicherheits-)Stand sind.

BYOD ist auch ein Geschäft

„Verkauft“ wird die Strategie gerne als Kostenersparnis. Wird BYOD jedoch nach allen Regeln der Kunst eingeführt, bedeutet dies im besten Fall Kostenneutralität (laut dem Beratungsunternehmen Deloitte). Qualifizierte MitarbeiterInnenbefragungen, ein Mobile-Device-Management und die Unterstützung der firmeninternen IT-Abteilung für die privaten Geräte sind nicht gratis zu haben.

Der Markt für unternehmensinterne Software zur Erleichterung von BYOD ist derzeit stark im steigen. Systeme, die zwischen privaten und beruflichen Daten auf den Smartphones trennen, die sichere Containerlösungen anbieten oder die sogenannte „thin clients“ in der Cloud anbieten, werden zunehmend programmiert und verkauft. Welche Variante für den Betrieb die passendste ist, wird der/die ArbeitgeberIn gemeinsam mit den IT-Fachkräften herausfinden müssen. Wie die innerbetriebliche Handhabung konkret aussieht wird der/die ArbeitgeberIn mit dem Betriebrat vereinbaren müssen.

Weitere Anregungen, Hilfestellungen und Hintergrundinfos finden sich in der neuen Broschüre der GPA-djp. Erhältlich für Mitglieder im Service-Center .

man muss sich nicht permanent überwachen lassen

stau0Dr. Datenschutz berichtet vom Gericht

Steht der/die FahrerIn im Stau oder bleibt er/sie länger an der Tankstelle stehen, als unbedingt nötig wäre? Das per Navigationsgerät zu kontrollieren, ist kein (technisches) Problem – sollte es aber sein, weil es illegal ist.

Im Dienstauto ist oftmals ein Navigationsgerät installiert. Dieses gehört dem Arbeitgeber und dient den ArbeitnehmerInnen bei der Adresssuche. Herr J. stellte fest, dass das Gerät  dem Arbeitgeber auch für andere Dinge diente (z.B. Überwachung der Fahrtszeiten) und entfernte das Gerät aus dem Auto. Herr J. wurde entlassen. Herr J. hat geklagt.

Und jetzt hat Herr J. Recht bekommen. Das Oberlandesgericht Wien entschied nun, dass die Entlassung nicht gerechtfertigt war und dem entlassenen Ex-Mitarbeiter somit Schadenersatz zusteht. Zwar darf der Arbeitgeber seinen Angestellten  – bis zu einem gewissen Grad – kontrollieren, doch darf das nicht überschießend werden (also: keine Zeitkontrollen per Fingerabdruck, keine Bewegungsmelder beim Verlassen des Arbeitsplatzes).

Die Installation eines Navigationsgerätes im Firmenauto ist in vielen Betrieben gang und gebe. Besonders für AußendienstmitarbeiterInnen, wie ServicetechnikerInnen, oder KundenbetreuerInnen wird ein solches Gerät angeschafft. Ein Navi kann aber mehr als Routen ansagen; es misst die Wegzeiten, protokolliert, welche Route gewählt wurde und erfasst laufend den Standort. Diese Daten zusammengefasst ergeben nämlich eine permanente Überwachung und eine solche ist nicht erlaubt.

Der Kurier fasst es treffend zusammen:

In der Arbeit Mal unbemerkt in der Nase bohren muss schon drinnen sein.

Der Installation eines Navis im Auto muss von den betroffenen MitarbeiterInnen zugestimmt werden – eben weil die Überwachungsdichte sehr groß ist. Auch der/die BetriebsrätIn hat ein Wörtchen mitzureden – es muss vor der Installation eines solchen Geräts eine Betriebsvereinbarung nach §96 Arbeitsverfassungsgesetz abgeschlossen werden. Wie eine solche Betriebsvereinbarung aussehen sollte, wurde in diesem Blog bereits beschrieben.

broschexternalDie Interessengemeinschaft work@external GPA-djp hat zum Thema Datenschutz im Außendienst 2012 eine Broschüre erstellt.

Die GPA-djp hat auch eine Muster-Betriebsvereinbarung für Ortungssysteme ausgearbeitet – frag einfach die/den RegionalsekretärIn deines Vertrauens.

 

…und manchmal geht es doch

die „innerbetriebliche Datenschutz-Kommission“ stärkt den Beschäftigten den Rücken

Dr. Datenschutz berichtet aus der Praxis

In einem österreichischen Unternehmen, dessen Geschäftszweck Vertrieb, Montage, Wartung und Reparatur von Elektrogeräten ist und dessen Zentrale in Deutschland liegt, besteht seit 2010 eine so genannte „interne Datenschutzkommission“. Zustande gekommen ist diese „iDSK“ im Zuge einer Arbeitsanweisung der deutschen Unternehmenseigentümerin; es galt zu überprüfen, ob alle internen „Compliance-Richtlinien“ eingehalten würden. Alle Töchterunternehmen wurden europaweit zu einer solchen Überprüfung angehalten, bei der die „Compliance-Officer“ an leitender Stelle eingesetzt waren. Um der Papiermengen Herr zu werden, wurde ein Team gebildet, in dem der Betriebsrat und ein Mitglied der Geschäftführung vertreten waren. In der Compliance-Richtlinie stieß das Team auf den Satz „alle nationalen Gesetze sind einzuhalten“.

Compliance gilt auch bei Beschäftigten-Datenschutz

Diese Textstelle wurde unter anderem in Bezug auf das Datenschutzgesetz interpretiert und man kam zu der gemeinsamen Meinung, dass eine interne Datenschutzkommission hilfreich wäre, um der Compliance-Richtlinie gerecht zu werden. Für die Geschäftsführung stand dabei das Interesse im Raum,  an die deutsche Muttergesellschaft nicht alle geforderten unternehmensinternen Daten weiterleiten zu müssen, weil sie befürchtete, dass sich die Eigentümerin dann allzu sehr in die Angelegenheiten der österreichischen Niederlassung einmischen würde. Für die ArbeitnehmerInnen-Interessenvertretung ergab sich so die Gelegenheit, mehr Informationen zu den geplanten Vorhaben der Konzernmutter zu erhalten. .

Gründung der internen Datenschutzkommission: eine Win-win-Situation.

Die iDSK wurde mittels Betriebsvereinbarung rechtlich abgesichert. Einer der ersten Arbeitsschritte war es, ein Formular zu entwickeln auf dem jede Datenanwendung ausführlich eingetragen werden musste. Inhaltlich lehnt sich das Dokument an die Meldeformulare der österreichischen Datenschutzkommission an. In dem Betrieb wurden jegliche Datenanwendungen, in denen personenbezogene Daten Bestandteil der Verwendung sind, in ein solches Formular eingetragen. Das ging vom Verschicken von Briefen an die Beschäftigten über neue Leistungserfassungstools bis hin zu Navigationssystemen. Das Formular diente als Grundlage für die Entscheidung, ob eine Betriebsvereinbarungspflicht vorliegt oder nicht.

Zwei Jahre nach Bestand der iDSK wünscht sich die Geschäftsführung nun eine Abwandlung dieses Genehmigungsformulars weil es zu bürokratisch und zeitaufwendig erscheint. Der Betriebsrat möchte die bestehende, umfangreiche Form beibehalten. Um die Angst vor der Komplexität zu nehmen, möchte der Betriebsrat statt dessen ein einfaches Informationsblatt an die Beschäftigten austeilen, das die komplexen Inhalte und Entscheidungsprozesse der internen Datenschutzkommission verständlicher macht. Das Informationsblatt wird die Entscheidungspfade in Form eines Baumes wiedergeben und einfache Wenn-Dann-Beziehungen aufzeigen (z.B. eine Datenverwendung enthält Daten, die eindeutig einer Mitarbeiterin / einem Mitarbeiter zuordenbar sind –> Abschluss einer Betriebsvereinbarung). Somit erfüllt die Kommission gleichzeitig auch die Aufgabe der Bewusstseinsbildung für die Belegschaft.

Seit Einführung der internen Datenschutzkommission hat sich die Datenschutz-Kultur im Betrieb geändert. Sowohl bei der Geschäftsführung als auch bei den ArbeitnehmerInnen ist ein Bewusstsein entstanden, dass Vorsicht geboten ist im Umgang mit personenbezogenen Daten. Der Betriebsrat beschreibt es mit den Worten:

Es kann nicht mehr alles einfach gemacht werden, wie sich das jemand gerade einbildet.

 

Hallo Konzernprivileg!

weckerEin böses Erwachen hatten am 18. September all jene, die immer sagten: „Es gibt kein Konzernprivileg!“ Seit einem Monat gibt es doch eines.

Nun können personenbezogene Daten innerhalb von Konzernniederlassungen weltweit umhergeschickt werden, ohne dass das bei der Datenschutzkommission gemeldet werden muss. Die MitarbeiterInnen und BetriebsrätInnen in Konzernen können somit nicht mehr beim Datenverarbeitungsregister nachfragen, ob diese Datentransfers eingetragen sind und somit rechtmäßig erfolgen – sie sind auch ohne Meldung rechtmäßig.

Folgende Verwendungen wurden in der neuen Standardverordnung 033 Datenübermittlung im Konzern“ festgeschrieben:

  • Kontakt- und Termindatenbank – auch die von Volontären, Praktikantinnen, wobei mir beim besten Willen die Phantasie fehlt, warum deren Termine von weiltweiter Bedeutung sind.
  • Karrieredatenbank  – hier dürfen sogar Beratungsunternehmen Zugriff erhalten, wobei die Zustimmung immer „freiwillig“ zu sein hat, was im Arbeitsverhältnis erfahrungsgemäß eher… nun ja…. ähmm… wie soll ichs sagen….
  • Verwaltung von Bonus- und Beteiligungsprogrammen – ermöglicht den Banken Zugriff auch auf Sachleistungen, die es vielleicht zusätzlich zum Gehalt gibt.
  • Technische Unterstützung – das ergibt wenigstens Sinn.

alles in allem aber eher:

AUTSCH!!!

Obwohl die GPA-djp in ihrer Stellungnahme recht deutlich wurde,

Wir sprechen uns dagegen aus, eine Überlastung bei der Datenschutzkommission durch gesetzliche Vorgaben zu beheben, sondern plädieren für eine ausreichende personelle Ausstattung. Insbesondere das Vorhaben, eine Standardverordnung für Datenübermittlung im Konzern einzuführen, muss abgelehnt werden.

ist die Erleichterung des Datentransfers für Konzerne nun in Kraft.

noch mehr Video als Standard

Auch die Videoüberwachung erfreut sich nun einer „administrativenErleichterung“ dadurch, dass sie zusätzlich zu den bereits exisiterenden Standards in weiteren Fällen ohne eigene Meldung an das Datenverarbeitungsregister ermöglicht wurde; und zwar

  • auf Parkgaragen und -plätzen
  • in Rechenzentren
  • in öffentichen Gebäuden 

Wer noch nicht genug hat und einen weiteren Artikel dazu lesen möchte, findet den hier.

Wer dem Ganzen etwas Positives abgewinnen möchte, dem/ der sei versichert: immerhin gibt es in der klare Standardverordnung Rahmenbedingungen unter denen die Daten verwendet werden dürfen.

Und wer dem Ganzen nicht traut, möge weiterhin die Möglichkeiten des Arbeitsverfassungsgesetzes in Anspruch nehmen; hier hat der Betriebsrat / die Betriebsrätin das Recht, eine Betriebsvereinbarung zu diesen Systemen abzuschließen. Denn:

trotz Standardverordnung müssen die Datenverwenungen unter Mitbestimmung der betrieblichen Interessenvertretung eingesetzt werden!

Gesundheitsdaten beim Arbeitgeber?

was Sie schon immer über ihre Gesundheitsdaten wissen wollten, aber nie zu fragen gewagt haben…

Gesundheitsdaten gehören zu den sensiblen Daten und daher nicht zwangsläufig in die Hände des Arbeitgebers/der Arbeitgeberin. Unter bestimmten Umständen kann es allerdings durchaus gerechtfertigt sein, dass ArbeitgeberInnen über Gesundheitsrisiken bei ArbeitnehmerInnen bescheid wissen.

Einige Daten sind für den Arbeitgeber verpflichtend zu erheben wie beispielsweise der Krankenstand, um ihn der Sozialversicherung zu melden. Da gilt aber, dass nur die Dauer des Krankenstandes und keinesfalls eine ärztliche Diagnose gemeldet werden muss.

Die Fürsorgepflicht der ArbeitgeberInnen ist ein weiterer Grund dafür, dass sie manchmal Gesundheitsdaten der Angestellten erfassen dürfen – oder auch müssen. Wenn beispielsweise eine Gärtnerin eine Birkenpollenallergie hat, wird es im beiderseitigen Interesse sein, sie zur Zeit des Birkenpollenflugs verstärkt im Innendienst einzusetzen. Oder wenn einE KollegIn aus dem Call-Center einen Gehörsturz hatte, wird sie an ihrem eigentlichen Arbeitsplatz eine Zeit lang nicht einsetzbar sein. Es kann also durchaus Sinn machen, Diagnosen von Gesundheitsproblemen an den Arbeitgeber weiterzugeben, auch wenn es sich dabei um sensible Daten handelt.

Ein allgemeines Screening aller MitarbeiterInnen nach sämtlichen möglichen Krankheiten unter dem Titel „Fürsorgepflicht“ ist allerdings nicht zulässig. Die Fürsorgepflicht ist immer an ein bestimmtes Unternehmen und die dort bestehenden Gefahren für die Gesundheit gebunden. Als Richtschnur für die Gültigkeit der Fürsorgepflicht kann folgende Frage dienen:

Ist das Gefährdungspotential in meinem Betrieb höher als in einem anderen Betrieb oder als generell im Leben?

Es wird also nicht gehen, dass in einem Büro von allen Angestellten ein AIDS-Test verlangt wird. Auch ein allgemeines „Krankenstandsmanagement„, das nach Ursachen, wiederholten Krankenständen in der Vergangenheit, „Wiedereinstiegsmotivation“ und Ähnlichem fragt, fällt sicher nicht unter die Fürsorgepflicht.

Sollten derartige Gespsräche zum Standard-Repertoire der Vorgesetzten gehören, so ist der Betriebsrat aufgefordert, das zu unterbinden. (Eine Empfehlung dazu ist auch eine Broschüre der GPA-djp zum Thema Krankenstandsmanagement.)

EinE Betriebsrat/-rätin kann bei allen Verfahren, die Gesundheitsdaten der ArbeitnehmerInnen erfassen, eine Betriebsvereinbarung (BV) verlangen. §96 ArbVG legt fest, dass eine BV abzuschließem ist, wenn die Menschenwürde berührt ist – und das ist bei Gesundheitsdaten so gut wie immer der Fall.

 Ein Buchtipp zum Weiterlesen für juristisch Interessierte wurde von Julia Baier verfasst:

Ermittlung gesundheitsbezogener Daten durch Arbeitgeber

und ist 2012 im ÖGB-Verlag erschienen und ebendort um 29,90 EUR käuflich erwerbbar.